Computervirussen zijn 'ongebreideld' op medische apparaten in ziekenhuizen





Geautomatiseerde ziekenhuisapparatuur is volgens deelnemers aan een recent regeringspanel steeds kwetsbaarder voor malware-infecties. Deze infecties kunnen apparatuur voor patiëntbewaking en andere softwaresystemen verstoppen, waardoor de apparaten soms tijdelijk onbruikbaar worden.

Hoewel er geen gewonden zijn gemeld, neemt het malwareprobleem in ziekenhuizen duidelijk in het hele land toe, zegt Kevin Fu , een vooraanstaand expert op het gebied van beveiliging van medische apparatuur en een computerwetenschapper aan de Universiteit van Michigan en de Universiteit van Massachusetts, Amherst, die deelnamen aan de paneldiscussie.

Softwaregestuurde medische apparatuur is de afgelopen jaren steeds meer onderling verbonden geraakt en veel systemen draaien op varianten van Windows, een veelvoorkomend doelwit van hackers elders. De apparaten zijn meestal verbonden met een intern netwerk dat zelf is verbonden met internet, en ze zijn ook kwetsbaar voor infecties van laptops of andere apparaten die naar ziekenhuizen worden gebracht. Het probleem wordt verergerd door het feit dat fabrikanten vaak niet toestaan ​​dat hun apparatuur wordt aangepast, zelfs niet om beveiligingsfuncties toe te voegen.

In een typisch voorbeeld, in het Beth Israel Deaconess Medical Center in Boston, draaien 664 medische apparatuur op oudere Windows-besturingssystemen die fabrikanten niet zullen wijzigen of het ziekenhuis toestaan ​​wijzigingen aan te brengen - zelfs niet om antivirussoftware toe te voegen - vanwege onenigheid over de vraag of wijzigingen zou in strijd kunnen zijn met de regelgevende beoordelingen van de Amerikaanse Food and Drug Administration, zegt Fu.

Als gevolg hiervan worden deze computers vaak geïnfecteerd met malware en moeten er elke week een of twee offline worden gehaald om te worden schoongemaakt, zegt Mark Olson, chief information security officer bij Beth Israel.

Ik vind dit verbijsterend, zegt Fu. Conventionele malware is wijdverbreid in ziekenhuizen vanwege medische apparaten die niet-gepatchte besturingssystemen gebruiken. Er is weinig verhaal voor ziekenhuizen wanneer een fabrikant OS-updates of beveiligingspatches weigert.

De zorgen over mogelijke gevolgen voor patiënten werden afgelopen donderdag beschreven tijdens een bijeenkomst van een panel voor medische hulpmiddelen van het National Institute of Standards and Technology Adviesraad voor informatiebeveiliging en privacy , waarvan Fu lid is, in Washington, D.C. Tijdens de bijeenkomst beschreef Olson hoe malware op een gegeven moment foetale monitoren vertraagde die werden gebruikt bij vrouwen met risicovolle zwangerschappen die werden behandeld op intensive care-afdelingen.

Het is niet ongebruikelijk dat die apparaten, om redenen die we niet volledig begrijpen, zo gecompromitteerd raken dat ze de gegevens niet kunnen opnemen en volgen, zei Olson tijdens de vergadering, verwijzend naar risicovolle zwangerschapsmonitoren. Gelukkig hebben we een uitwijkmodel omdat het risicopatiënten zijn. Ze bevinden zich in een IC-eenheid - er is fysiek iemand om naar te kijken. Maar als ze weglopen naar een andere patiënt, is er een tijdsbestek waarin dingen de verkeerde kant op gaan.

De defecte computersystemen in de monitoren zijn enkele maanden geleden vervangen door de fabrikant Philips; de nieuwe systemen, gebaseerd op Windows XP, zijn beter beveiligd en het probleem is opgelost, zei Olson in een volgend interview.

Tijdens de bijeenkomst zei Olson ook dat soortgelijke problemen een grote verscheidenheid aan apparaten bedreigden, variërend van compounders, die intraveneuze medicijnen en intraveneuze voeding bereiden, tot beeldarchiveringssystemen die verband houden met diagnostische apparatuur, waaronder enorme $ 500.000 magnetische resonantiebeeldvormingsapparatuur.

Olson vertelde het panel dat infecties veel soorten apparatuur hebben getroffen, waardoor de angst ontstond dat op een dag een patiënt schade zou kunnen oplopen. We maken ons ook zorgen over situaties waarin bloedgasanalysatoren, compounders, radiologische apparatuur, nucleair-medische toedieningssystemen gecompromitteerd kunnen raken tot waar ze niet kunnen worden gebruikt, of ze worden gecompromitteerd tot het punt waarop hun waarden worden aangepast zonder dat de software het weet, hij zei. Hij legde uit dat wanneer een machine verstopt raakt met malware, deze in theorie een aantal metingen van een sensor kan missen [en] ten onrechte een waarde rapporteert, wat nu schade kan veroorzaken.

Vaak wordt de malware geassocieerd met botnets, zei Olson, en zodra het zich in een computer nestelt, probeert het contact op te nemen met command-and-control-servers voor instructies. Botnets, of verzamelingen van gecompromitteerde computers, verzenden vaak spam, maar kunnen ook aanvallen uitvoeren op andere computersystemen of andere taken uitvoeren die zijn toegewezen door de organisaties die ze beheren (zie Moore's Outlaws).

In september heeft het Verantwoordingsbureau van de Rijksoverheid een verslag doen van waarschuwde dat geautomatiseerde medische apparaten kwetsbaar zouden kunnen zijn voor hacking, wat een veiligheidsrisico vormt, en vroeg de FDA om het probleem aan te pakken. Het GAO-rapport richtte zich vooral op de bedreiging voor twee soorten draadloze geïmplanteerde apparaten: geïmplanteerde defibrillatoren en insulinepompen. De kwetsbaarheid van deze apparaten heeft brede persaandacht gekregen (zie Persoonlijke beveiliging en pacemakers beschermen tegen hackers), maar er zijn geen daadwerkelijke aanvallen op hen gemeld.

Fu, die een leider is in het onderzoeken van de risico's die worden beschreven in het GAO-rapport, zei dat deze twee soorten apparaten een druppel op een gloeiende plaat zijn: duizenden andere op het netwerk aangesloten apparaten die worden gebruikt voor patiëntenzorg zijn ook kwetsbaar voor infecties. Dit zijn levensreddende apparaten. Patiënten zijn overweldigend veiliger met hen dan zonder hen. Maar er zijn scheuren zichtbaar, zei hij. (Fu was Technologie Review's Innovator van het Jaar in 2009.)

Malwareproblemen op ziekenhuisapparatuur worden zelden gemeld aan staats- of federale regelgevers, aldus Olson en Fu. Dit komt mede doordat ziekenhuizen menen dat ze weinig verhaal hebben. Ondanks FDA richtlijnen uitgegeven in 2009 aan ziekenhuizen en fabrikanten – ze aanmoedigen om samen te werken en te benadrukken dat het elimineren van veiligheidsrisico’s niet altijd een herziening van de regelgeving vereist – veel fabrikanten interpreteren de kleine lettertjes op andere manieren en bieden geen updates aan, zegt Fu. En een dergelijke melding is niet vereist, tenzij een patiënt wordt geschaad. Misschien is dat een tekortkoming van onze kant, dat we niet proberen de dreiging zichtbaarder te maken, zei Olson. Maar ik denk dat we allemaal het gevoel hebben dat de dreiging steeds groter wordt.

Tijdens de bijeenkomst zei Brian Fitzgerald, een adjunct-directeur van de FDA, dat hij bij het bezoeken van ziekenhuizen in het hele land heeft ontdekt dat de problemen van Beth Israel breed worden gedeeld. Dit is een veel voorkomend profiel, zei hij. De FDA herziet nu haar regelgevende houding ten aanzien van software, vertelde Fitzgerald aan het panel. Dit zal een geleidelijk proces moeten zijn, omdat het gaat om het veranderen van de cultuur, het veranderen van de technologie, het aantrekken van nieuw personeel en het systematisch aanpakken hiervan, zei hij.

In een interview maandag zei Tam Woodrum, een softwaremanager bij de apparaatmaker GE Healthcare, dat fabrikanten zich in een moeilijke positie bevinden en dat de problemen worden vergroot omdat ziekenhuizen steeds meer onderlinge verbondenheid verwachten. Hij voegde eraan toe dat ondanks de richtlijnen van de FDA uit 2009, de regelgeving het moeilijk maakt om systeemwijzigingen door te voeren: om terug te gaan en het besturingssysteem bij te werken, met bijgewerkte software om op de volgende versie te draaien, is het een moeizaam regelgevingsproces.

Olson zei dat in zijn ervaring GE Healthcare wel softwarepatches en begeleiding biedt om apparaten veilig te houden, maar dat niet alle fabrikanten dezelfde houding hebben. Hij voegde eraan toe dat de minst beveiligde apparaten achter firewalls zijn geplaatst. Maar om dat te doen met alle softwaregestuurde apparatuur van een ziekenhuis, zouden meer dan 200 firewalls nodig zijn - een onwerkbaar vooruitzicht, zei hij.

John Halamka , Beth Israel's CIO en professor aan de Harvard Medical School, zei dat hij fabrikanten om hulp begon te vragen bij het isoleren van hun apparaten van de netwerken nadat er in 2009 problemen waren ontstaan: de Conficker-worm veroorzaakte problemen met een Philips verloskundige werkstation, een GE-radiologiewerkstation en nucleaire medische toepassingen die niet konden worden gepatcht vanwege [wettelijke] beperkingen. Hij zei: Niemand raakte gewond, maar we moesten de systemen afsluiten, opschonen en vervolgens isoleren van het internet/lokale netwerk.

Hij voegde eraan toe: Veel CTO's weten niet hoe ze hun eigen producten kunnen beschermen met beperkende firewalls. Allen zeiden dat ze werken aan het verbeteren van de beveiliging, maar nog niet de nodige verbeteringen hebben aangebracht.

Fu zegt dat medische apparaten moeten stoppen met het gebruik van onveilige, niet-ondersteunde besturingssystemen. Meer ziekenhuizen en fabrikanten moeten zich uitspreken over het belang van de beveiliging van medische apparatuur, zei hij na de bijeenkomst. Leidinggevenden bij een paar toonaangevende fabrikanten beginnen technische middelen in te zetten om de beveiliging goed te krijgen, maar er zijn duizenden op software gebaseerde medische apparaten.

zich verstoppen